Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

HTML Smuggling — новая угроза для европейской кибербезопасности

04/07/23

images (1)-1

Неизвестная хакерская группировка атаковала министерства иностранных дел и посольства в Европе, используя технику HTML Smuggling для доставки трояна PlugX на заражённые системы. Об этом сообщила компания по кибербезопасности Check Point, которая назвала эту операцию SmugX. По данным исследователей, вредоносная кампания ведется с декабря 2022 года.

«В рамках кампании используются новые методы доставки PlugX, программы-шпиона, которая часто связывается с различными китайскими угрозами», — говорится в отчёте Check Point.

«Хотя сама полезная нагрузка остается похожей на ту, что была в старых версиях PlugX, методы её доставки обеспечивают низкий уровень обнаружения, который до недавнего времени помогал кампании оставаться незамеченной», — добавили специалисты.

Какая группировка ответственена за эту операцию — пока неясно наверняка, однако имеющиеся улики указывают на группировку Mustang Panda, которая также имеет пересечения с другими кластерами угроз, известными как Earth Preta, RedDelta и Camaro Dragon по классификации Check Point. Исследователи также заявили, что на данный момент «недостаточно доказательств» для окончательной атрибуции этого хакерского коллектива, передает Securitylab.

Последняя атака в рамках кампании SmugX примечательна тем, что использовала HTML Smuggling — хитрую технику, при которой киберпреступники злоупотребляют законными возможностями HTML5 и JavaScript для сборки и запуска вредоносного ПО в обманных документах, прикрепленных к фишинговым электронным письмам.

«HTML Smuggling использует атрибуты HTML5, которые могут работать в автономном режиме, храня бинарный файл в неизменяемом блоке данных внутри кода JavaScript. Данные блока или встроенной полезной нагрузки декодируются в файловый объект при открытии через веб-браузер», — отметила Trustwave в феврале этого года.

Анализ документов, которые были загружены в базу данных вредоносного ПО VirusTotal, показывает, что они предназначены для атаки дипломатов и государственных структур в Чехии, Венгрии, Словакии, Великобритании, а также, вероятно, Франции и Швеции.

Многоступенчатый процесс заражения использует уже до боли знакомый метод DLL Sideloading для расшифровки и запуска окончательной полезной нагрузки — PlugX.

PlugX, в свою очередь — это программа-шпион, которая появилась еще в 2008 году и является модульным трояном, способным поддерживать «разнообразные плагины с различными функциональными возможностями», позволяющими своим операторам осуществлять кражу файлов, захват экрана, регистрацию нажатий клавиш и выполнение команд.

«В ходе нашего исследования образцов злоумышленник отправил пакетный скрипт, полученный от C2-сервера, предназначенный для стирания любых следов своей деятельности», — сообщили в Check Point.

«Этот скрипт уничтожает законный исполняемый файл, DLL-загрузчик PlugX и ключ реестра, используемый для сохранения, а затем удаляет сам себя. Вероятно, это результат того, что злоумышленники осознали, что они находятся под пристальным вниманием», — заключили исследователи.

Темы:ПреступленияCheck PointКибератакиHTML
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...